14 августа 2017

Уведомление в Роскомнадзор: подавать или не подавать?

Федеральный закон № 152 «О персональных данных» устанавливает требования к операторам уведомлять уполномоченный орган (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. После подачи уведомления заявитель включается в общедоступный реестр операторов персональных данных. По опыту с процедурой подачи уведомления всегда связана масса вопросов, как то:
  • Стоит ли вообще уведомлять Роскомнадзор?
  • Возрастёт ли интерес регулятора к компании в случае подачи уведомления?
  • Что грозит компании в случае неуведомления?
Давайте попытаемся ответить на эти вопросы и развеять существующие мифы.

А есть ли обязанность?

Закон устанавливает 9 исключений из общего правила. Если цели и порядок обработки персональных данных подпадают под эти исключения, то оператор может не уведомлять регулятора. Наиболее интересными в этом плане являются следующие случаи:

  • обработка персональных данных в соответствии с трудовым законодательством;
  • обработка персональных данных исключительно в целях заключения и исполнения договора субъектом;
  • обработка персональных данных без использования средств автоматизации.
Эти исключения действительно работают в некоторых случаях. Но на практике обработка персональных данных осуществляется с разными целями и в разном объеме. И, строго говоря, при наличии хотя бы одного бизнес-процесса обработки, не попадающего под исключения, уведомление необходимо подавать. В случае принятия решения об отнесении обрабатываемых данных к исключениям будьте готовы отстаивать это решение перед представителями проверяющего органа.
Стоит отдельно отметить, что даже в случае, если обработка персональных данных в компании полностью попадает под исключения, это не отменяет обязанности оператора выполнять все требования законодательства по их защите (собирать согласие на обработку персональных данных, публиковать политику об обработке, обеспечивать защиту персональных данных и пр.) Обязанность подачи уведомления является лишь одним из требований, предъявляемых к оператору персональных данных.

А стоит ли привлекать внимание?

Мы с коллегами часто слышим опасения по поводу того, что в случае подачи уведомления компания сразу же попадает в поле зрения Роскомнадзора и он обязательно придёт с проверкой. На самом деле это не так. К сожалению, доподлинно не известен алгоритм, по которому Роскомнадзор выбирает компании, включаемые в план проверок. Но известно, что в этот план попадают как компании, подавшие уведомления, так и компании, не сделавшие этого.
Скорее даже наоборот: внимание к компании может возникнуть в случае отсутствия уведомления. В настоящее время Роскомнадзор осуществляет рассылку писем таким компаниям, отсутствующим в реестре операторов и явно осуществляющих обработку персональных данных. При получении такого письма в течение 30 дней необходимо отправить уведомление об обработке персональных данных или обоснование причин, по которым уведомление не требуется.
В случаях отсутствия ответа или выявления факта отсутствия уведомления во время проверки, согласно кодексу об административных правонарушениях на оператора налагается штраф (для юридических лиц в размере от трех до пяти тысяч рублей).

По поводу включения в план проверок известны ограничивающие факторы — истечение 3 лет со дня:

  • регистрации юридического лица;
  • окончания проведения последней плановой проверки компании.

Процесс подачи уведомления в Роскомнадзор

Заполнить уведомление можно непосредственно на сайте Роскомнадзора через электронную форму. Для корректного заполнения формы необходимо сообщить достаточно широкий перечень сведений, что в свою очередь требует от заявителя глубокого понимания особенностей обработки персональных данных оператором.
К данным, которые необходимо указать, относятся: основания и цель обработки, меры, применяемые для защиты данных, категории обрабатываемых данных, категории субъектов обрабатываемых данных, перечень действий, совершаемых с данными и т. д.
После отправки электронной формы появляется возможность скачать бланк уведомления. Его необходимо распечатать и за подписью уполномоченного лица оператора направить в территориальный орган Роскомнадзора (по месту регистрации оператора).
Роскомнадзор рассматривает уведомление и в течении 30 дней вносит оператора в реестр.

В сухом остатке

Всем, кто сомневается, хочется порекомендовать всё-таки подать уведомление. Его наличие в любом случае не является нарушением и позволяет предостеречь от вопросов со стороны надзорного органа.
Вот несколько аргументов, почему это стоит сделать:
  • наличие уведомления не накладывает дополнительных негативных факторов на компанию;
  • в случае получения запроса от Роскомнадзора или включения компании в план проверок не придётся в срочном порядке подготавливать уведомление, которое требует достаточно комплексного представления об обработке персональных данных компанией;
  • в случае неуведомления компании грозит привлечение к административной ответственности.
Под конец стоит добавить только одно — кто предупрежден, тот вооружен. Окончательное решение — подавать или не подавать уведомление — принимать исключительно вам. Надеюсь, эта статья поможет определиться с решением.
Георгий Морозов,
Менеджер по сопровождению корпоративных клиентов, Акрибия
Другие публикации по теме